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Обнаружение аномалий в компьютерной сети 
на оснований нейросетевьтх технологий 


У статті проведено аналіз методів виявлення аномалій, які є частиною системи виявлення вторгнень. 
Проведено комп'ютерне моделювання нейромережного методу виявлення аномалій, який базується 
на аналізі поведінки користувачів. Основною перевагою розглянутих підходів є їх адаптивність, 
здатність до навчання та можливість виявлення не тільки відомих, але й нових видів атак. 

Ключові слова: захист інформаційних систем, виявлення аномалій, 

нейромережні технології, шаблон поведінки користувача. 
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В статье проведен анализ методов обнаружения аномалий, которьте являются частью системьт обнаружения 
вторжений. Проведено компьютерное моделирование нейросетевого метода обнаружения аномалий, которьій 
базируется на анализе поведения пользователей. Основньм плюсом используемьїх подходов является их 
адаптируємость, стремлениє к обучению и возможность обнаружения не только известньхх, но и НОВЬІХ 
видов атак. 

Ключевьге слова: защита информационньтх систем, обнаружениєе аномалий, 

нейросетевьге технологий, шаблон поведения пользователя. 


Вступ 


Інформаційні технології все більше проникають у всі сфери людської діяльності. 
Інформація може представляти велику цінність та бути предметом купівлі-продажу. 
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Здебільшого саме через це інформаційні ресурси стають об'єктом атаки з метою їх за- 
володіння. Це призводить до того, що актуальним стає питання захисту. У зв'язку зі 
збільшенням обсягів інформації, що циркулюють в локальних обчислювальних мережах, 
та розширенням спектра завдань, що вирішуються за допомогою інформаційних систем, 
виникає проблема, пов'язана зі зростанням числа загроз і підвищенням вразливості ін- 
формаційних ресурсів ПІ. 

Створення інформаційних систем, гарантовано стійких до шкідливих впливів і 
комп'ютерних атак, пов'язане з істотними витратами як часу, так і матеріальних ресурсів. 
Окрім того, існує відома зворотна залежність між зручністю користування системою та її 
захищеністю: чим досконаліші системи захисту, тим складніше користуватися основним 
функціоналом інформаційної системи. Ще у 30-і роки ХХ століття, в рамках оборонних 
проектів США, робилися спроби створення розподілених інформаційних систем спе- 
ціального призначення, які не повинні були виводитися з безпечного стану при будь-якій 
послідовності дій взаємодіючих об'єктів. У цих системах використовувалось спеціалізо- 
ване програмне забезпечення на всіх рівнях, включаючи системний. Але, на сьогоднішній 
день подібні системи не отримали розвитку, і для організації інформаційних систем ви- 
користовуються операційні системи загального призначення, такі, як ОС Місгобоїї 
Ууіпдомуз, Шпих та інші. 


Огляд відомих підходів до побудови систем 
виявлення вторгнень 


Створення ефективних підходів до захисту інформаційних систем зіштовхується 
також із браком обчислювальної потужності. З самого початку розвитку комп'ютерів 
і комп'ютерних мереж спостерігаються дві тенденції - щорічне подвоєння продук- 
тивності обчислювачів, доступних за одну й ту ж вартість, та потроєння пропускної 
спроможності каналів зв'язку за той же період. Таким чином, зростання обчислю- 
вальної потужності вузлів мережі відстає від зростання обсягів переданої по мережі 
інформації, що з кожним роком посилює вимоги до обчислювальної складності ал- 
горитмів систем захисту інформації |21. 

Методи виявлення атак в сучасних системах недостатньо опрацьовані в частині 
формальної моделі атаки, 1, отже, для них досить складно строго оцінити такі властивості, 
як обчислювальна складність, коректність, завершеність і т.д. Прийнято розділяти методи 
виявлення атак на методи виявлення аномалій і методи виявлення зловживань. Зловжи- 
вання - це такий тип атак, у яких використовуються відомі недоліки інформаційних 
систем. Аномалія - це незвичайна активність в цілому, що може свідчити про вторгнення. 
Якщо зафіксована активність користувача відрізняється від очікуваної поведінки, то го- 
ворять про аномалію. 

Більшість сучасних комерційних систем (Сізсо ІР5, І55 Кеаїбесиге, МЕВ) для 
протидії описаним вище загрозам використовують, здебільшого, сигнатурні (експертні) 
методи виявлення. Існує безліч академічних розробок у галузі виявлення аномалій, але в 
промислових системах вони використовуються рідко і з великою обережністю, оскільки 
такі системи породжують велику кількість помилкових спрацьовувань. Для експертних 
же систем основною проблемою є низька, близька до нуля, ефективність виявлення не- 
відомих атак. Низька адаптивність до цих пір залишається проблемою, хоча такі переваги, 
як низька обчислювальна складність і мала вартість розгортання визначають домінування 
таких систем у даній сфері (31. 
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Постановка задачі 


Зважаючи на сказане вище, метою даної статті є розробка такої моделі поведінки 
системи захисту, яка б дозволяла всі законні, хоч 1 нетипові дії користувача та блокувала 
незаконні. Складність побудови такої моделі полягає в тому, що неможливо створити 
всеосяжну систему виявлення, яка б передбачала всі можливі варіанти поведінки кори- 
стувача. Для досягнення поставленої мети поступимо наступним чином. Змоделюємо не 
всі можливі варіанти, що є практично неможливим, а лише варіанти поведінки окремих 
користувачів. При такому підході окремо опишемо дозволені дії користувача стосовно 
інформаційної системи. Відслідкувати це в режимі реального часу теж непросто, оскільки 
дії користувача інформаційної системи далеко не завжди є однотипними та можуть ва- 
ріюватися навіть в межах однієї сесії роботи. Описана ідея закладена в основу побудови 
детектора вторгнень, який зреалізований на основі нейронних мереж. При побудові ней- 
ронної мережі буде використано алгоритм зворотного поширення, який дасть можливість 
навчити систему ідентифікувати користувачів на основі команд, якими вони ко- 
ристуються при роботі. Для цього спочатку протягом деякого часу проводиться навчання 
запропонованого методу. Результатом такого навчання є формування гістограми команд 
для кожного користувача, яка в подальшому використовується як один з основних іден- 
тифікаторів користувача. 


Моделювання системи виявлення аномалій 


До недавнього часу найбільш поширеною структурою системи виявлення 
вторгнень була модель, запропонована у роботі |1. Її суть полягає в тому, що в біль- 
шості випадків побудова системи захисту мережі та антивірусних програм базувалася 
на використанні сигнатур - формальному описі відомих атак. Такі системи мали ряд 
недоліків. Найбільш суттєвими серед них є висока ймовірність помилкових спрацювань, 
низька швидкодія та відсутність механізмів виявлення нових атак. Це призвело до 
необхідності розробки нових підходів до створення систем виявлення вторгнень, які б 
характеризувалися вищим рівнем автоматизації та швидкодії і не вимагали великої 
кількості апаратних ресурсів. Припускається, що дії користувача та поведінка зловмис- 
ника відрізняються. Тому при побудові сучасних систем виявлення вторгнень викори- 
стовують підхід, який базується на глибокому аналізі користувацької активності з метою 
її розпізнавання на нормальну та аномальну. Звичайно, такий підхід вимагає певного пе- 
ріоду часу на збір інформації про нормальну роботу системи та користувача, яка стає 
еталоном та відносно якої оцінюють всю решту дії. Також цей підхід має користуватися 
високим рівнем адаптивності стосовно кожного конкретного користувача. 

Відомо декілька різновидів моделей систем виявлення аномалій. До найбільш по- 
ширених належать моделі, які базуються на прикладах поведінки користувача, частотні та 
нейромережні. 

Один з найпростіших підходів до опису дій користувачів є підхід, який базується 
на описі поведінки користувачів. Пересічний користувач при роботі за комп'ютером 
працює в більшості випадків в одному середовищі, використовує певний обмежений 
набір програмних засобів та користується певним, але також обмеженим набором мо- 
жливих команд К;. З цього набору команд формується множина послідовностей команд 


Тк ) , які зазвичай виконує користувач. Такі ж множини послідовностей формуються під 


час навчання для всіх можливих користувачів та зберігаються у базі даних у вигляді 
профілів користувачів. При роботі користувача формується нова множина послідов- 
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ностей команд |, яка порівнюється кожним профілем у базі даних. Таким чином 
проводиться ідентифікація користувачів за їх діями. Суттєвий недолік такого підходу 
полягає у необхідності постійно зберігати профілі всіх користувачів та постійно моніто- 
рити послідовності дій користувача, що вимагає великої кількості програмних ресурсів. 

Частотний підхід до опису дій користувача є подібним до попереднього. Різниця 
полягає в тому, що шаблони дій користувача представляються не у вигляді послідов- 
ностей команд, а у вигляді частоти їх появи та інших статистичних характеристик. 
Моніторингу підлягають вже не самі послідовності, а їх статистичні характеристики. 
Недоліком такого підходу є слабка адаптивність, а також те, що аналізується частота 
використання команд, а не їх послідовність. 

При побудові системи виявлення аномалій у даній статті використано нейромережну 
модель. До основних переваг отриманої моделі можна віднести те, що навчивши систему 
на обмеженій кількості користувачів, вона узагальнює цю інформацію та формує очікувану 
реакцію у подібних ситуаціях. Паралельна обробка інформації у нейромережних системах 
дозволяє створювати достатньо швидкодіючі чи навіть он-лайн системи. В процесі нав- 
чання нейромережна система дає можливість виділяти ті найважливіші ознаки дій користу- 
вачів чи зловмисників, які формують базу для прийняття рішень. Ще однією важливою 
перевагою нейромережної моделі системи виявлення аномалій є можливість прогнозування 
роботи системи на основі її минулих дій. 

Нейромережна система виявлення аномалій будується таким чином, що на її вхід 
подається набір параметрів, які характеризують роботу системи, а на виході отримуємо 
деякий коефіцієнт -- здебільшого 1 чи 0, що характеризує наявність чи відсутність ано- 
малій у її роботі. За вхідні параметри можуть бути використані час роботи користувача, 
які програми він використовує найбільше, швидкість набору команд 1 т.п. Такий підхід дає 
можливість не тільки виявляти аномалії, але й проводити ідентифікацію користувачів. 
Недоліком системи є те, що вона ефективно працює лише з невеликою кількістю кори- 
стувачів, що є, здебільшого, цілком прийнятним для більшості комп'ютеризованих си- 
стем. При збільшенні кількості користувачів до тисяч ускладнюється ефективність їх роз- 
різнення |4), 151. 


Реалізація 


Комп'ютерне моделювання проводилося в середовищі Майаб у додатку Меига! 
Мебмогк5 Тооїбох. 

При побудові моделі використовувалися багатошарові нейронні мережі прямого 
поширення. Їх навчання полягало в мінімізації функціонала помилки методом градієнт- 
ного спуску |5|, під час якого по каналу від'ємного зворотного зв'язку здійснюється по- 
рівняння фактичних і заданих відповідей мережі. 


Суть даної процедури полягає в пошуку величини зміни ваги зв'язку Ла між і-м 
нейроном попереднього шару й ) -м нейроном наступного. Розрахунок даної величини 


здійснюється послідовними наближеннями за циклічним алгоритмом методом градієнт- 
ного спуску, тобто величина Да) визначається як частинна похідна за поточним значен- 


ням вагового коефіцієнта від середньоквадратичної функції помилки системи: 
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де М «0,5У, (у9 - у Ї - функція помилки навчання, й, - коефіцієнт інтен- 
) 


сивності навчання, ау г вага міжнейронного зв'язку, У - фактичний вихід /-го 


У З - ПИ . чі . 
нейрона, у; - його заданий (необхідний) вихід. 


Рішення даних рівнянь залежить від обраного типу граничної функції. Коефіцієнт 
с, не повинен бути занадто великим, щоб забезпечувати стійкість навчання, і не занадто 
малим, щоб навчання надмірно не затягувати. Емпірично встановлений діапазон значень 
коефіцієнта швидкості навчання: 0 -- І, а рекомендується 0) І. 

Застосування даного методу передбачає наявність впливу суб'єкта навчання, який 
повинен заздалегідь визначати вихідні відгуки об'єкта навчання для кожного вхідного 
впливу. Такий підхід навчання штучних нейронних мереж називається «навчанням із 
учителем». Але вихідні сигнали апріорі повинні перебувати в однозначному взаємо- 
зв'язку із вхідними сигналами. 

Для побудови шаблону поведінки користувача було використано набір команд, 
який він використовує. Але такий підхід виявився неефективним для великої кількості 
користувачів. Тому надалі при побудові шаблону користувача використовувався не лише 
набір команд, але й враховувалася послідовність їх використання | 11. 

Далі, на основі кількості правильно передбачених команд робиться висновок про 
наявність чи відсутність аномалії у мережі. Якщо кількість вірно передбачених команд 
вища за певний експериментально встановлений рівень, то вважається, що поведінка 
користувача вважається нормальною, в іншому випадку - аномальною. При аномальній 
поведінці користувача потрібно проводити додатковий аналіз -- або користувач різко 
змінив свою поведінку, чого не потрібно виключати, або - це дії зловмисника. З плином 
часу користувачі змінюють свою поведінку. Для врахування цього фактора час від часу 
систему потрібно додатково навчати, щоб вона адаптувалася до нових дій користувача. 


Висновок 


У даній статті розглянутий підхід до побудови системи виявлення вторгнень. 
Показано, що аналіз дій користувача є одним із ефективних засобів виявлення зловмис- 
ника у комп'ютеризованих системах. Як інструмент при реалізації даної системи ви- 
користані штучні нейронні мережі. Це надало системі властивостей адаптивності та 
здатності до навчання при зміні поведінки користувача. В подальшому планується про- 
вести комп'ютерне моделювання розглянутого у роботі підходу у поєднанні з сигна- 
турними методами, що дозволить розробити високоефективну нейромережну систему 
виявлення вторгнень, яка виявлятиме не тільки відомі, але й нові види атак. 
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І. Видук 
Моає! ої АпотаіЇу Регестоп іп Сотриїег Меїуоткя Вазеа оп 
ХМеигаї Метурогк ТесПппоіогу 


Іп гесепі уеаг5, пло5( ОЇ Ше іпіогалайоп аз ргімаїе апа ргоргіекагу 58їогед аз біе8 іп 
сопаршег 5у5кетія. Обеп із іпіогпайоп 15 а ігаде 5естеї. То ргеуепі Фатаєє ог Фей ої 
сопаршег пегуогкз ипкіпе а уагіегу ої 5о0йуаге ргоїесйоп 5узіет. Мозі ої Ше5е 5узіетя ц5е 
зіспаїшге деїесйоп теїойя. ТПеїг Фзадуапіаєє 15 Шаг ШФеу сап опіу декесі Кпомуп айаск 
зідпаїиге8 уурісП 15 їп Ше Чдагабазе зузіет. 5исП 5у5етя аге пої аЧарбуе апа ипарбіе 10 декесі 
пеуу гуре5 ої ипКпоууп (геаїя. Трі5 Ба8 песеззіїаїсд пеуу арргоаспезє іо Ше сгеайоп ої 
ргогесйоп 5узіетя Шаї ууоцід аПому соипіег пої опіу Кпомуп айасКя Биї аї5о (0 декесі пем/ 
гуре8 ої Шет. ТРе рарег соп5ідег5 плодегп арргоаспез (о бийадштя іпіогтайоп 5есигіїу 5узіетез. 
Тре їдеа ої рийдіпє зисп 5у5іетя 15 Базед оп Фаї п5ег5 асйоп5 апа Бераміог ої аїНегепі 
айасКег. Пи Фі5 ууогк Фе Бе5і Кпомуп плеїродзя Гог ідепіїйсацоп ої Фе икег апа айасКег. ТПе5е 
арргоасрез аге Ше Базі8 ої а декесйоп зу5іет апопайез. Модейпе, цп5ег Бераміог райегп апа 
Юипа Шаї 1 15 опе ої еНесйуе теап5 ОЇ ідепіуїпеє Ше акасКег іп сопариїегі7ед 5узіетя. 
МУпеп тодейтя ц5еад їп паційауег пеїмогкя, уупісп ргоміде ап оррогіипісу (0 5їлду 5уз8іетя ої 
ргогеспоп апа регіогтапсе їп Фе птпріетепіаноп. 
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